Lab Windows Server 2019 – Module 8 Configuring Security in Windows Server

Module 8 bạn sẽ:

  • Cấu hình Windows Defender Credential Guard.
  • Xác định các tài khoản có vấn đề.
  • Triển Khai LAPS (Local Administrator Password Solution)

Exercise 1: Configuring Windows Defender Credential Guard

  1. Tại Máy DC1, vào run gõ lệnh GPMC.MSC để vào Group Policy Management.
  2. Cửa sổ Group Policy Management, chọn  Forest: ctl.local > Domains > ctl.local, phải chuột vào OU HCM chọn Create a GPO in this domain, and Link it here
  3. Cửa sổ New GPO, trong phần Name nhập vào CredentialGuard_GPO, ấn OK

Windows Defender Credential Guard

4. Phải chuột vào CredentialGuard_GPO vừa tạo chọn Edit

5. Cửa sổ Group Policy Management Editor, chọn Computer Configuration\Policies\Administrative Templates\System\Device Guard.

6. Cửa sổ bên phải double click vào Turn On Virtualization Based Security.

7. Cửa sổ Turn On Virtualization Based Security chọn Enable và các thông tin sau:

  • Select Platform Security Level: chọn Secure Boot and DMA Protection.
  • Credential Guard Configuration: chọn Enabled with UEFI lock.
  • Secure Launch Configuration: chọn Enabled, ấn OK

8. Đóng cửa sổ Group Policy Management Editor.

9. Đóng cửa sổ Group Policy Management

Windows Defender Credential Guard

10. Vào Powershell thực hiện lệnh sau để Enable Windows Defender Credential Guard using the hypervisor-protected code integrity and Windows Defender Credential Guard hardware readiness tool (download file DG_Readiness_Tool.ps1 tại https://www.microsoft.com/en-us/download/details.aspx?id=53337 lưu vào C:\lab8)

  • cd\
  • CD c:\lab8
  • DG_Readiness_Tool.ps1 -Enable -AutoReboot

11. Khởi động lại máy DC1

Exercise 2: Xác Định Tài Khoản Có Vấn Đề

  1. Tại máy DC1, vào Powershell thực hiện lệnh sau để xác định user nào có Password Never Expires

Get-ADUser -Filter {Enabled -eq $true -and PasswordNeverExpires -eq $true}

2. Dùng lệnh sau để set Password Never Expires bằng False

Get-ADUser -Filter {Enabled -eq $true -and PasswordNeverExpires -eq $true} | Set-ADUser -PasswordNeverExpires $false

3. Sử dụng lại lệnh sau để xác định không còn user nào có Password Never Expires bằng True

Get-ADUser -Filter {Enabled -eq $true -and PasswordNeverExpires -eq $true}

Windows Defender Credential Guard

4. Sử dụng lệnh sau để xác định và disable các user trong vòng 30 ngày chưa logon

$days = (Get-Date).Adddays(-30)

Get-ADUser -Filter {LastLogonTimeStamp -lt $days -and enabled -eq $true} -Properties LastLogonTimeStamp

(sẽ không có user nào)

5. Nếu có dùng lệnh sau để disable các user đó

Get-ADUser -Filter {LastLogonTimeStamp -lt $days -and enabled -eq $true} -Properties LastLogonTimeStamp | Disable-ADAccount

Windows Defender Credential Guard

6. Dùng lệnh sau để xem các user đã được tạo trong 30 ngày qua

$day = ((Get-Date).AddDays(-30)).Date

Get-ADUser -Filter {whenCreated -ge $day} -Properties whenCreated

Exercise 3: Triển Khai LAPS (Local Administrator Password Solution)

Task 1. Tạo OU và Computer Accounts cho LAPS

Task 1. Tạo OU và Computer Accounts cho LAPS (Local Administrator Password Solution)

  1. Tại máy DC1 thực hiện lênh sau để tạo OU HN, và move PC02 vào OU HN (thay ctl.local bằng domain của bạn)
  • New-ADOrganizationalUnit -Name “HN”
  • Get-ADComputer PC02 | Move-ADObject –TargetPath “OU=HN,DC=ctl,DC=local”

2. Thực hiện lệnh sau để cài Local Administrator Password Solution ( download file LAPS.x64.msi tại https://www.microsoft.com/en-us/download/details.aspx?id=46899 lưu vào C:\lab8)

Msiexec /I C:\lab8\LAPS.x64.msi

3. Cửa sổ Local Administrator Password Solution Setup Wizard ấn Next.

4. Check chọn I accept the terms in the License Agreement, ấn Next.

5. Cửa sổ Custom Setup, trong phần Management Tools chọn drop-down menu, chọn Entire feature will be installed on the local hard drive.

6. Ấn Next, ấn Install, và Finish.

7. Khởi động lại DC1.

Windows Defender Credential Guard

8. Tại máy DC1 vào PowerShell thực hiện 2 lệnh sau để cập nhật Schema

  • Import-module AdmPwd.PS
  • Update-AdmPwdADSchema

9. Vào Run nhập lệnh DSA.MCS để vào Active Directoty Users and Computers

10. Tạo group AdminPass trong OU HN và add user Administrator và user nào bạn muốn cấp quyền truy cập vào password local.

11. Trở lại Powershell thực hiện lệnh sau để cấp quyền  cho Group AdminPass truy cập vào Password local

  • Set-AdmPwdReadPasswordPermission -Identity “HN” -AllowedPrincipals “AdminPass”
  • Set-AdmPwdComputerSelfPermission -Identity “HN”

12. Khởi động lại máy DC1 để cập nhật Schema

Task 2: Chuẩn Bị AD DS (Active Directory) Cho LAPS

Task 2: Chuẩn Bị AD DS (Active Directory) Cho LAPS

1. tại máy DC1 vào run gõ lệnh GPMC.MSC để vào Group Policy Management.

2. Tại Group Policy Management chọn Forest: ctl.local > Domains> ctl.local, phải chuột vào OU HN, chọn Create a GPO in this domain, and Link it here.

3. Cửa sổ New GPO, trong phần Name nhập vào LAPS_GPO, ấn OK

4. Phải chuột vào LAPS_GPO vừa tạo, chọn Edit.

5. Cửa sổ Group Policy Management Editor, trong phần Computer Configuration, chọn Policies > Administrative Templates > LAPS.

6. Cửa sổ bên phải double click vào Enable local admin password management chọn enable. ấn Ok

7. Tiếp tục double click vào Password Settings, chọn Enabled, trong phần configure Password Length: nhập vào 20. Password Age (Days): 30, ấn OK.

8. Đóng Group Policy Management Editor.

Windows Defender Credential Guard

Task 3. Cài LAPS Cho PC02

Task 3. Cài LAPS Cho PC02

  1. Copy file LAPS.x64.msi từ DC1 vào C:\lab8 máy PC02
  2. Tại PC02 vào PowerShell (run as administrator)thực hiện lệnh sau:

Msiexec /I c:\lab8\LAPS.x64.msi

3. Cửa sổ Local Administrator Password Solution Setup Wizard ấn Next.

4. Check chọn I accept the terms in the License Agreement, ấn Next, Next, Install và ấn Finish.

6. Khởi động lại PC02.

Task 4. Kiểm Tra LAPS

Task 4. Kiểm Tra LAPS

  1. Tại máy DC1 vào Start, chọn LAPS, và chọn LAPS UI.
  2. Cửa sổ LAPS UI, trong phần ComputerName nhập vào PC02, ấn Search.
  3. Xem giá trị Password và the Password expires ấn Exit.
  4. Vào Windows PowerShell, thực hiện một trong 2 lệnh sau để xem password trên máy PC02

Get-ADComputer PC02 -Properties ms-Mcs-AdmPwd

Get-AdmPwdPassword -ComputerName “PC02”

5 .Dùng Password vừa xem đăng nhập vào máy PC02 bằng quyền local Administrator

Hoàn tất Bài Lab

Lab Windows Server 2019 Module 9